Google alerta: quânticos podem quebrar Bitcoin até 2029
Estudo do Google reacende o debate sobre risco quântico no Bitcoin e pressiona o mercado cripto a adotar criptografia pós quântica antes de 2029 para mitigar ataques a chaves e assinaturas digitais.
Danilo Gato
Autor
Introdução
Computadores quânticos podem quebrar Bitcoin. O novo aviso do Google coloca 2029 como horizonte para um cenário em que a criptografia atual deixa de ser suficiente, o que pressiona o mercado a migrar para soluções pós quânticas antes desse marco. A palavra chave aqui é risco quântico no Bitcoin, com foco direto em assinaturas digitais e chaves públicas expostas.
Na notícia de 31 de março de 2026, pesquisadores do Google afirmam que os recursos necessários para um ataque quântico podem ser menores do que se pensava, elevando a urgência de uma transição coordenada em cripto. Embora não exista hoje uma máquina capaz de quebrar o Bitcoin, o debate saiu do plano teórico e entrou no planejamento de produto e de governança de risco.
O artigo explica, de forma prática, por que os quânticos miram as assinaturas do Bitcoin, como a comunidade está se movendo com BIP 360, o que NIST já padronizou em pós quântica e um plano de ação objetivo para quem opera dentro do ecossistema cripto.
O que muda com o alerta do Google
O Google revisou o cronograma do chamado Q Day, sugerindo que até 2029 poderemos ver computadores quânticos com capacidade para quebrar criptografia amplamente utilizada. Para o universo cripto, o recado é claro, priorizar migração para criptografia pós quântica em ritmo acelerado. As mensagens públicas recentes reforçam a necessidade de preparar sistemas e chaves antes que chegue um CRQC, um computador quântico criptograficamente relevante.
Outro ponto do alerta é o fenômeno harvest now, decrypt later. Invasores já podem estar coletando dados cifrados hoje para decifrá los quando houver hardware quântico suficiente. Isso aumenta o custo de esperar para migrar, porque a janela entre o anúncio e o ataque efetivo pode ser curta.
Como computadores quânticos quebrariam o Bitcoin
O alvo mais sensível no Bitcoin não é o hash SHA 256 que protege blocos, e sim as assinaturas digitais baseadas em curvas elípticas, ECDSA e Schnorr em secp256k1. O motivo é simples, o algoritmo de Shor resolve logaritmos discretos e fatoração em tempo polinomial num computador quântico, desmontando os pressupostos de segurança da ECDSA. Em linguagem prática, com qubits suficientes e correção de erros madura, um atacante pode derivar a chave privada a partir da chave pública.
Em 2019, Gidney e Ekerå estimaram que quebrar RSA 2048 em 8 horas exigiria cerca de 20 milhões de qubits físicos sob hipóteses realistas de correção de erros. Esse trabalho virou referência para quantificar ordens de grandeza de recursos quânticos. Em 2025, Gidney atualizou as contas e sugeriu que menos de 1 milhão de qubits físicos, ainda com dias de execução, poderiam fatorar RSA 2048, reduzindo drasticamente o requisito em relação a 2019. Embora RSA não seja o esquema usado no Bitcoin, as mesmas técnicas de estimativa influenciam análises sobre ECC de 256 bits.
Estudos recentes discutem que, para curvas elípticas de 256 bits, ordens de grandeza de 10^5 a 10^6 qubits físicos de alta qualidade podem ser suficientes, a depender de taxas de erro, arquitetura e paralelismo. Em 30 de março de 2026, um pré print argumentou janelas de execução de dias para ECDLP em P 256 com dezenas de milhares de qubits físicos sob certas condições, embora reconheça que a sobrecarga de correção de erros tende a empurrar os números para milhões de qubits. A incerteza é grande, porém a direção é inequívoca, Shor reduz drasticamente a segurança efetiva de ECC.
![Quantum risk visual]
Linha do tempo, de 2024 a 2029, e o que ainda é incerto
O alerta do Google ancorado em 2029 não é uma previsão determinista, é uma linha de base para planejamento. Outras leituras da comunidade técnica apontam janelas de 2030 a 2035 para ameaças concretas, dependendo de avanços em correção de erros e eficiência de circuitos. O ponto é que as margens estão encolhendo, pois as estimativas de recursos necessários vêm caindo desde 2019 graças a otimizações de algoritmos e engenharia.
É prudente considerar 2026 como o ano em que o risco quântico deixou de ser um rodapé e virou diretriz estratégica. A matéria da Bloomberg, publicada em 31 de março de 2026, destaca que os pesquisadores do Google veem a conta de recursos menor do que a sabedoria convencional sugeria, o que acelera o relógio para Bitcoin, stablecoins e infraestrutura DeFi.
O que a comunidade Bitcoin já está fazendo, BIP 360 e além
O ecossistema Bitcoin começou a pavimentar uma trilha de defesa. Em fevereiro de 2026, o BIP 360 foi incorporado ao repositório oficial de BIPs, como documentação, e ganhou tração em março com implementação em testnet dedicada denominada Bitcoin Quantum. O BIP 360 propõe P2MR, Pay to Merkle Root, para viabilizar roteiros de gasto com assinaturas pós quânticas, mantendo compatibilidade com Tapscript. Não muda regras de consenso por si, mas abre espaço para experimentação e migrações graduais.
Matérias de fevereiro e março de 2026 enfatizam que isso é apenas o primeiro passo. Co autores e analistas avaliam que uma migração plena pode levar anos, porque envolve novas chaves, endereços, carteiras, políticas de custodiante e coordenação em larga escala. Em uma estimativa pública, a janela de transição poderia chegar a sete anos, o que colide com um cenário de Q Day já no fim da década.
![Post quantum migration path]
Padrões NIST e o que migrar significa na prática
O NIST publicou, em 13 de agosto de 2024, os primeiros padrões de criptografia pós quântica prontos para uso, incluindo ML KEM Kyber para estabelecimento de chaves e ML DSA Dilithium e SLH DSA SPHINCS+ para assinaturas. Esses FIPS 203, 204 e 205, com FALCON em preparação no FIPS 206, formam a base técnica para qualquer plano de modernização em larga escala. Para o mercado cripto, a mensagem é, construir carteiras, protocolos de custódia e infra de nodes com suporte a assinaturas PQC, preferencialmente em arranjos híbridos que combinem curvas elípticas e PQC durante a transição.
A migração prática pede quatro frentes, inventário de cripto, quais ativos, endereços, chaves, bibliotecas e HSMs estão em uso, uma análise de exposição de chaves públicas, especialmente UTXOs com Pay to Public Key antigos, desenho de rotas de atualização, por exemplo, endereços e scripts que aceitem múltiplas assinaturas, incluindo PQC, e testes em ambientes de testnet e sandboxes. Tudo isso deve alinhar se com diretrizes emergentes de agilidade criptográfica e com as janelas de conformidade que governos e reguladores venham a publicar.
Por que o alvo real são as assinaturas, e não o SHA 256
É comum ver o debate focado no hash do Bitcoin, porém a superfície de ataque quântico mais crítica está nas assinaturas. O SHA 256 resiste melhor, exigindo ataques diferentes e com ganhos quadráticos via Grover, enquanto a ECDSA cai diretamente a Shor. Na prática, o risco de curto prazo é a exposição de chaves públicas, tanto em endereços antigos, P2PK, quanto no momento em que uma transação é transmitida e fica alguns minutos mempool sem confirmação. Um atacante com capacidade quântica e latência suficientemente baixa poderia tentar recuperar chaves privadas nesse intervalo.
Estudos e materiais técnicos recentes reforçam que ECC de 256 bits demanda menos recursos quânticos do que RSA 2048 quando o que importa é o tamanho lógico da instância, o que antecipa o risco para Bitcoin relativamente a sistemas que mantiveram chaves maiores. Essa assimetria de riscos ajuda a explicar por que o Google sugere urgência antes de 2029.
O efeito de novas estimativas, de milhões para centenas de milhares de qubits
O deslocamento das estimativas de 2019 para 2025 reduz significativamente a barreira de entrada para um ataque quântico viável, ainda que continue colossal pelos padrões de hoje. O rebaixamento de recursos vem de técnicas como aritmética de resíduos aproximada, otimizações em destilação de estados mágicos e diferentes arquiteturas de correção de erros. O recado é que engenharia e algoritmos continuam a cortar custos, então cronogramas que pareciam confortáveis podem ficar apertados de um ciclo para outro.
A literatura de 2026 também aponta cenários em que ECDLP de 256 bits se torne exequível com dezenas de milhares a milhões de qubits físicos, dependendo de parâmetros e paralelismo. Essa amplitude de cenários pede governança de risco conservadora, que parte do princípio de que as curvas de aprendizado e fabricação podem acelerar de forma não linear.
Casos reais e sinais de mercado
O BIP 360 não é teoria em PDF, já está rodando em testnet especializada. Em março de 2026, a BTQ Technologies reportou a implantação do P2MR em um ambiente com dezenas de mineradores e centenas de milhares de blocos, permitindo a desenvolvedores testarem transações com assinaturas pós quânticas. O passo não altera as regras do Bitcoin principal, mas demonstra caminhos de implementação.
Relatos de imprensa especializada reforçam que a incorporação do BIP 360 no repositório de BIPs em 11 de fevereiro de 2026 sinaliza infraestrutura e não ativação, ainda depende de amplo consenso e de trabalho de código, testes e auditorias. Em paralelo, análises do mercado financeiro já incorporam risco quântico em teses de investimento e em políticas de recomendação, o que pressiona custodians e exchanges a se moverem antes do calendário técnico.
Plano de ação pragmático para 2026 2029
Para empresas cripto, exchanges e custodians, o roteiro mínimo inclui, 1, inventário de chaves e algoritmos, inclusive contratos e integrações que consomem assinaturas, 2, política de não exposição de chaves públicas desnecessariamente, por exemplo, rotacionar destinos e evitar reuse, 3, preparação para esquemas híbridos, combinando ECDSA Schnorr com PQC padronizados pelo NIST, 4, pilotos em testnet com P2MR BIP 360 e benchmarking de tamanhos, latência e custos de transação, 5, atualização de HSMs, SDKs e bibliotecas cripto com suporte a ML DSA, SLH DSA e, quando disponível, FN DSA, 6, governança e comunicação com clientes sobre cronogramas de migração e riscos de harvest now, decrypt later.
Para investidores e usuários finais, três medidas melhoram o perfil de risco, 1, reduzir exposição de saldos em endereços long lived com chaves públicas já reveladas on chain, 2, preferir carteiras e provedores que publiquem planos de migração PQC alinhados com os padrões NIST, 3, acompanhar ativamente discussões técnicas sobre ativação de propostas como BIP 360, entendendo como elas afetam taxas, compatibilidade e experiência de uso.
Reflexões e insights ao longo da jornada
Risco quântico não exige pânico, exige cronograma. A história recente mostra que melhorias de algoritmos e engenharia podem cortar custos rapidamente, empurrando janelas de risco para mais perto. Isso justifica tratar 2029 como um deadline de preparação, mesmo que a data exata do Q Day permaneça incerta. O pior cenário é chegar em 2029 sem inventário, sem testes e sem rotas de migração.
Outro insight é que migração pós quântica não é um big bang. O caminho mais provável envolve fases, soluções híbridas e convivência por anos, principalmente enquanto hardware e bibliotecas amadurecem. O ecossistema que começar cedo vai colher aprendizado, negociar trade offs de tamanho de assinatura, throughput e custos com mais calma, e chegar mais preparado se a curva de hardware acelerar.
Conclusão
O aviso do Google, publicado em 31 de março de 2026, consolidou 2029 como ano de referência para planejamento de risco quântico no Bitcoin. Com estimativas de recursos caindo e BIP 360 abrindo um trilho prático de migração, o debate técnico encontrou um vetor claro de execução, adotar padrões NIST de PQC, testar esquemas híbridos, evitar exposição desnecessária de chaves e organizar governança de migração.
Oportunidade e responsabilidade caminham juntas. A mesma corrida que aproxima vantagens quânticas em ciência de materiais e finanças também pressiona a criptografia legada. O ecossistema que tratar computadores quânticos podem quebrar Bitcoin como hipótese de trabalho, e não como manchete distante, tende a proteger valor, confiança e continuidade no longo prazo.